Innovatie & Strategie

Security
award

Log4j-aanpak levert NCSC prijs op

Award is security-hackathon speciaal voor NCSC, plus kennis en inzichten daaruit.

© CC0 - pixabay 3dman_eu
1 juli 2022

Award is security-hackathon speciaal voor NCSC, plus kennis en inzichten daaruit.

Het cybersecurity-orgaan van de Nederlandse overheid NCSC (Nationaal Cyber Security Centrum) heeft de Security- en Privacy-award 2022 van SURF gewonnen. Deze prijs is toegekend voor de manier waarop het NCSC de informatievoorziening heeft georganiseerd rondom de ernstige Log4j-kwetsbaarheid die in december vorig jaar aan het licht is gekomen. "De gekozen aanpak stimuleerde laagdrempelige en internationale samenwerking", legt SURF uit.

De prijsuitreikende organisatie, die de ICT-coöperatie is van onderwijs- en onderzoeksinstellingen, looft de snelle informatiedeling van het NCSC waarbij een openbare repository op ontwikkelplatform GitHub is aangemaakt. Daar is alle gecontroleerde en geverifieerde informatie verzameld over de kritieke kwetsbaarheid (Log4Shell genoemd) in Log4j. Die opensourceloggingtool bleek in gebruik in vele verschillende producten van diverse ICT-leveranciers, zowel software als ook hardware.

Overzicht en 'crowdsourcing'

Het publiekelijk beschikbare overzicht van kwetsbare Log4j-versies en kwetsbare applicaties, plus scanning- en mitigatietools, plus ook nog eens Indicators of Compromise (IoC’s – technische aanvalskenmerken van een incident) hebben organisaties wereldwijd geholpen. Het NCSC heeft daarbij ook nationale en internationale partners, organisaties en bedrijven opgeroepen om aanvullende informatie die zij hebben te delen via de GitHub-repository. Aan die oproep is massaal gehoor gegeven, waardoor het overzicht nog waardevoller is geworden.

SURF stelt nu dat dit heeft geleid tot een van de meest complete overzichten van applicaties die kwetsbaar zijn door Log4j. Het NCSC is dan ook internationaal geprezen om deze aanpak. "De snelheid waarmee het overzicht van kwetsbare applicaties werd gepubliceerd in Github heeft onze achterban – onderwijs en onderzoek – én vele andere organisaties wereldwijd geholpen bij het tijdig treffen van de juiste maatregelen", stelt voorzitter Wim Biemolt van SURFcert. Die organisatie is het CERT (computer emergency response team) van SURF en daarmee securityteam voor onderwijsorganisaties en onderzoeksinstellingen in Nederland.

Hackathon dit najaar

De prijs die NCSC nu krijgt van SURF omvat naast de eer ook een verdere vergaring van security-informatie. SURF gaat samen met de Universiteit Twente (UT) een hackathon ontwikkelen en organiseren, speciaal voor het NCSC. De nieuwe kennis en inzichten die dit oplevert, maken ook deel uit van de award. Hierbij stelt de UT wetenschappelijke data beschikbaar uit OpenINTEL, de grootste DNS-meting ter wereld. Deze securityhackathon wordt in het najaar gehouden aan de Twentse universiteit. NCSC-medewerkers, maar ook onderzoekers, wetenschappers en studenten worden uitgenodigd om deel te nemen aan dit evenement.

Log4j-sessie NCSC op Securitycongres AG Connect

Het NCSC heeft de effectieve aanpak - plus de grote impact - van de Log4j-kwetsbaarheid belicht op het Securitycongres dat AG Connect in april dit jaar heeft gehouden. Senior adviseur cybersecurity Kimberly Hengst van het NCSC heeft verteld over de lessen van Log4j. Zij was één van de sprekers die op de bijeenkomst in Utrecht de diverse kanten van ICT-beveiliging hebben belicht.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.